LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
-
LE SYNDICAT CONFÉDÉRATION FRANÇAISE DE L'ENCADREMENT-CONFÉDÉRATION GÉNÉRALE
DES CADRES, partie civile,
contre l'arrêt de la chambre de l'instruction de la cour d'appel
d'AIX-EN-PROVENCE, en date du 4 décembre 2007, qui, dans l'information
suivie contre personne non dénommée des chefs d'infractions à la
réglementation sur le traitement des données informatiques et violation du
secret professionnel, a confirmé l'ordonnance de non-lieu rendue par le juge
d'instruction ;
Vu le mémoire produit ;
Sur le premier moyen de cassation, pris de la violation des articles 112-1,
226-16 du code pénal, 459, 512, 575, 591 et 593 du code de procédure pénale,
défaut de motifs, défaut de réponse à conclusions et manque de base légale ;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le
juge d'instruction dans l'information ouverte sur plainte contre X, des
chefs d'infractions à la réglementation sur le traitement informatique des
données nominatives ;
"aux motifs que l'information a permis d'établir (D23) que l'AIMT 83 a
effectué le 15 juillet 1992 auprès de la Commission nationale de
l'informatique et des libertés la déclaration d'un traitement automatisé
d'informations nominatives numéro 278742 et le 25 juin 2002 une déclaration
modificative concernant le logiciel Stetho ;
qu'il s'ensuit que les dispositions de l'article 20 de la loi 2004-801 du 6
août 2004 modifiant la loi 78-17 du 6 janvier 1978 ont été respectées et
qu'il n'y a pas lieu à application de l'article 226-16, alinéa 1er, du code
pénal ; qu'il résulte par ailleurs de l'information et notamment, des deux
expertises informatiques diligentées que le logiciel
Stetho comporte des paramètres de confidentialité permettant au médecin de
rendre des données confidentielles pour tous les utilisateurs y compris les
autres médecins, et dès lors de garantir le respect de la confidentialité
des dossiers médicaux ; que l'information a permis d'établir que Jean-Paul
X... et Jacques Y..., s'ils avaient pu avoir accès à des données protégées
par le secret médical en leur qualité de super administrateur, avaient
néanmoins agi dans le cadre de leur activité de consultant en informatique
afin d'assurer le fonctionnement du logiciel
Stetho et se trouvaient liés à l'AIMT par un contrat de travail comportant
une clause de confidentialité en sorte qu'ils ne peuvent être considérés
comme des tiers non autorisés au sens de l'article 34 de la loi du 6 janvier
1978 ; que par ailleurs, Jean-Paul X... et Jacques Y..., n'étant pas
médecins, il ne peut leur être reproché la violation d'un secret dont ils
n'étaient pas dépositaires ; que c'est, dès lors, à bon droit que le juge
d'instruction a considéré qu'il ne résultait pas de l'information charges
suffisantes contre quiconque d'avoir commis une atteinte aux droits de la
personne résultant des fichiers ou des traitements informatiques prévues et
réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait
pas davantage de charges suffisantes contre quiconque d'avoir commis le
délit de violation du secret médical ; que les faits visés n'étant
susceptibles d'aucune autre qualification pénale, l'ordonnance de non-lieu
sera confirmée ;
"alors que, d'une part, il ressort des pièces du dossier produites devant la
cour que l'AIMT 83 avait effectué en 1992 auprès de la CNIL la déclaration
d'un système automatisé d'informations nominatives n°278742 dont la finalité
« était les visites médicales du travail pour les salariés intérimaires »,
ainsi qu'une déclaration n°278743 dont la finalité était « la gestion de
l'activité médicale et l'établissement du rapport annuel pour l'ensemble des
médecins » ; que la déclaration de modification du 25 juin 2002 se
contentait de mentionner le changement de logiciel
(Stetho), alors même que ce changement de logiciel
s'était accompagné de changements radicaux des caractéristiques du
traitement ; qu'en l'état de cette refonte totale du système de données, le
récépissé d'accord de la CNIL de 1992 ne pouvait en aucun cas tenir lieu
d'accord pour la mise en place du logiciel
Stetho ; qu'en se contentant, néanmoins, d'une simple référence à
l'existence des déclarations n°278742 de 1992 et du 25 juin 2002 pour
écarter le délit de non-respect des formalités préalables à la mise en
oeuvre d'un traitement de données, alors que la déclaration n°278742 ne
concernait qu'un système annexe sans rapport avec le traitement de données
dont il était question, et que la simple déclaration modificative procédait
en réalité à une refonte totale du système, la chambre de l'instruction a
fondé sa décision de confirmation de l'ordonnance de non-lieu sur une
dénaturation des déclarations susvisées, privant de ce fait sa décision de
base légale ;
"alors que, d'autre part, il résulte de l'article 226-16, alinéa 1er, du
code pénal que tout traitement automatisé d'informations nominatives doit
être déclaré à la CNIL préalablement à sa mise en oeuvre ; qu'en l'espèce,
le mémoire de la partie civile dénonçait le non-respect de cette disposition
par l'AIMT 83 dès lors que la déclaration du logiciel
Stetho à la CNIL datait du 25 juin 2002, alors que son installation s'était
déroulée avant le 17 décembre 1999 ; qu'en se bornant à écarter
l'application de l'article 226-16 au regard de la simple constatation que l'AIMT
83 avait procédé à une déclaration modificative concernant le
logiciel Stetho le 25 juin 2002, sans préciser
si cette déclaration était antérieure ou postérieure à sa mise en oeuvre, la
chambre de l'instruction n'a pas répondu à un argument essentiel du mémoire
de la partie civile, privant de ce fait sa décision des conditions
essentielles de son existence légale ;
"alors que, encore, en vertu du principe de non-rétroactivité des lois
nouvelles plus sévères défini à l'article 112-1 du code pénal, la loi du 6
août 2004 portant aggravation des peines prévues par l'article 226-16 du
code pénal dans sa rédaction antérieure ne pouvait faire l'objet d'une
application rétroactive aux faits de l'espèce commis avant son entrée en
vigueur ; que dès lors, la chambre de l'instruction ne pouvait écarter
l'application de l'article 226-16, alinéa 1er, du code pénal en invoquant
l'application de la loi du 6 août 2004, sans méconnaître ce principe
constitutionnel fondamental et les textes susvisés ;
"alors que, subsidiairement, à supposer que l'on considère que les
dispositions de la loi du 6 août 2004 relatives à l'incrimination puissent
être dissociées de celles relatives aux pénalités, le principe de légalité
ne fait alors pas obstacle à ce que la nouvelle rédaction de l'article
226-16 du code pénal par la loi du 6 août 2004, en ses dispositions
équivalentes, s'applique aux faits déjà incriminés par la loi ancienne sous
l'empire de laquelle ils ont été commis ; mais, dès lors que les termes de
la loi nouvelle, du 6 août 2004, ne modifiaient en rien les obligations de
déclaration préalable à toute mise en oeuvre d'un traitement de données à
caractère personnel, la chambre de l'instruction ne pouvait écarter
l'application de l'article 226-16 du code pénal sur son seul fondement ; que
la simple référence à l'article 20 de la loi susvisée, destiné à régir les
dispositions transitoires, ne pourra qu'être déclarée inopérante dans la
mesure où le délai de trois ans octroyé par la loi nouvelle aux responsables
de traitement de données à caractère personnel pour mettre leurs traitements
en conformité avec ses dispositions nouvelles ne vise que ceux « dont la
mise en oeuvre est régulièrement intervenue avant la publication de la
présente loi », ce qui, à l'évidence ne pouvait concerner les faits dénoncés
en l'espèce puisque la mise en oeuvre du logiciel
Stetho n'était justement, pas régulièrement intervenue ; qu'en statuant par
ce motif inopérant, impropre à écarter l'application de l'article 226-16 du
code pénal puisqu'il ne le concernait pas, la chambre de l'instruction n'a
pas légalement justifié sa décision" ;
Sur le deuxième moyen de cassation, pris de la violation des articles
226-16, 226-17 du code pénal, 459, 512, 575, 591 et 593 du code de procédure
pénale, défaut et contradiction de motifs, défaut de réponse à conclusions,
manque de base légale ;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le
juge d'instruction dans l'information ouverte sur plainte contre X, des
chefs d'infractions à la réglementation sur le traitement informatique des
données nominatives ;
"aux motifs que l'information a permis d'établir (D23) que l'AIMT 83 a
effectué le 15 juillet 1992 auprès de la Commission nationale de
l'informatique et des libertés la déclaration d'un traitement automatisé
d'informations nominatives numéro 278742 et le 25 juin 2002 une déclaration
modificative concernant le logiciel Stetho ;
qu'il s'ensuit que les dispositions de l'article 20 de la loi 2004-801 du 6
août 2004 modifiant la loi 78-17 du 6 janvier 1978 ont été respectées et
qu'il n'y a pas lieu à application de l'article alinéa 1er, du code pénal ;
qu'il résulte, par ailleurs, de l'information et notamment, des deux
expertises informatiques diligentées que le logiciel
Stetho comporte des paramètres de confidentialité permettant au médecin de
rendre des données confidentielles pour tous les utilisateurs y compris les
autres médecins, et dès lors de garantir le respect de la confidentialité
des dossiers médicaux ; que l'information a permis d'établir que Jean-Paul
X... et Jacques Y..., s'ils avaient pu avoir accès à des données protégées
par le secret médical en leur qualité de super administrateur, avaient
néanmoins agi dans le cadre de leur activité de consultant en informatique
afin d'assurer le fonctionnement du logiciel
Stetho et se trouvaient liés à l'AIMT par un contrat de travail comportant
une clause de confidentialité en sorte qu'ils ne peuvent être considérés
comme des tiers non autorisés au sens de l'article 34 de la loi du 6 janvier
1978 ; que, par ailleurs Jean-Paul X... et Jacques Y..., n'étant pas
médecins, il ne peut leur être reproché la violation d'un secret dont ils
n'étaient pas dépositaires ; que c'est, dès lors, à bon droit que le juge
d'instruction a considéré qu'il ne résultait pas de l'information charges
suffisantes contre quiconque d'avoir commis une atteinte aux droits de la
personne résultant des fichiers ou des traitements informatiques prévues et
réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait
pas davantage de charges suffisantes contre quiconque d'avoir commis le
délit de violation du secret médical ; que les faits visés n'étant
susceptibles d'aucune autre qualification pénale, l'ordonnance de non lieu
sera confirmée ;
"alors que, d'une part, l'article 226-17 du code pénal incrimine le fait de
procéder à un traitement automatisé d'informations nominatives sans prendre
toutes les précautions utiles pour préserver la sécurité de ces
informations, et notamment sans empêcher qu'elles ne soient communiquées à
des tiers non autorisés ; qu'en l'espèce, il résulte des propres
constatations de la décision attaquée que Jean-Paul X... et Jacques Y... ont
pu avoir accès à des données protégées par le secret médical alors même
qu'ils n'étaient pas médecins, dans le cadre de leur activité de consultant
en informatique afin d'assurer le fonctionnement du
logiciel Stetho ; qu'en décidant, néanmoins, d'écarter ce délit alors
que le simple fait que des non médecins puissent accéder à des données
médicales protégées par le secret professionnel pour les besoins de
l'exploitation du système informatique qu'ils avaient pour mission de gérer
suffisait à le caractériser, la chambre de l'instruction n'a pas tiré de ses
constatations les conséquences légales qui en résultaient nécessairement ;
"alors que, d'autre part, il résulte des constatations de l'arrêt attaqué
que la connexion au logiciel Stetho
nécessitait deux mots de passe et que tous les utilisateurs n'avaient pas
les mêmes droits d'accès, seul le statut de super administrateur, associé à
un profil de médecin permettant d'avoir accès à l'ensemble des données
médicales rendues non confidentielles pour les médecins utilisateurs de
Stetho ; qu'il s'en déduit nécessairement qu'un super administrateur n'ayant
pas la qualité de médecin ne pouvait être autorisé à avoir accès aux données
médicales ; que dès lors, la chambre de l'instruction ne pouvait, sans se
contredire ou mieux s'en expliquer, affirmer dans le même temps, non
seulement que Jean-Paul X... et Jacques Y..., alors même qu'ils n'étaient
pas médecins, avaient pu avoir accès à des données protégées par le secret
médical en leur qualité de super administrateur, mais encore qu'ils ne
pouvaient être considérés comme des tiers non autorisés ; que le fait que
ces derniers n'aient pas la qualité de médecin étant exclusif de leur
autorisation d'accéder à des données protégées par le secret médical, la
chambre de l'instruction a statué par des motifs contradictoires, privant de
ce fait sa décision de base légale ;
"alors que, encore, l'insertion d'une simple clause de confidentialité dans
le contrat de travail, d'ailleurs commune à l'ensemble des salariés de l'AIMT,
ne saurait en aucun cas constituer une autorisation pour ces derniers
d'accéder à des données médicales protégées par le secret professionnel ;
qu'en se bornant pourtant à invoquer l'existence de cette clause pour
considérer que Jean-Paul X... et Jacques Y..., ne pouvaient être considérés
comme des tiers non autorisés, la chambre de l'instruction a statué par un
motif inopérant, qui loin d'établir l'absence d'un quelconque manquement à
l'obligation de préserver la sécurité des informations au sens de l'article
226-17 du code pénal, le démontre au contraire ;
"alors que, en tout état de cause, la chambre de l'instruction ne pouvait
considérer qu'il ne résultait pas de l'information charges suffisantes
contre quiconque d'avoir commis des infractions à la réglementation sur le
traitement informatique de données nominatives, sans répondre à l'argument
essentiel du mémoire régulièrement déposé pour la partie civile, faisant
valoir le constat d'huissier de justice du 15 novembre 2007 qui y était
joint et transcrivant les propos tenus par Mme Z..., juriste de la CNIL, qui
confirmait expressément non seulement qu'un informaticien ne peut avoir
accès à des données qui sont couvertes par le secret médical, mais encore
que l'AIST 83 ne pouvait mettre en oeuvre un nouveau traitement de données
sans avoir obtenu auparavant le récépissé de la CNIL ; qu'en se bornant à
confirmer l'ordonnance de non-lieu sans même s'expliquer sur cette pièce
jointe au mémoire de la partie civile, particulièrement essentielle
puisqu'elle attestait du non-respect des articles 226-16 et 226-17 du code
pénal, la chambre de l'instruction n'a pas légalement justifié sa décision"
;
Sur le troisième moyen de cassation, pris de la violation des articles
226-13 du code pénal, L. 1110-4 du code de la santé publique, 575, 591 et
593 du code de procédure pénale, défaut de motifs, et manque de base légale
;
"en ce que l'arrêt attaqué a confirmé l'ordonnance de non-lieu rendue par le
juge d'instruction dans l'information ouverte sur plainte contre X, du chef
de violation du secret médical ;
"aux motifs que, par ailleurs, Jean-Paul X... et Jacques Y..., n'étant pas
médecins, il ne peut leur être reproché la violation d'un secret dont ils
n'étaient pas dépositaires ; que c'est dès lors, à bon droit que le juge
d'instruction a considéré qu'il ne résultait pas de l'information charges
suffisantes contre quiconque d'avoir commis une atteinte aux droits de la
personne résultant des fichiers ou des traitements informatiques prévues et
réprimées par les articles 226-16 à 226-24 du code pénal et qu'il n'existait
pas davantage de charges suffisantes contre quiconque d'avoir commis le
délit de violation du secret médical ; que les faits visés n'étant
susceptibles d'aucune autre qualification pénale, l'ordonnance de non-lieu
sera confirmée ;
"alors que, d'une part, il résulte de l'article L. 1110-4 du code de la
santé publique que le secret médical «s'impose à tout professionnel de
santé, ainsi qu'à tous les professionnels intervenant dans le système de
santé » ; qu'en vertu de ce texte, le secret médical ne se limite pas aux
seuls médecins mais s'impose également non seulement à toutes les
professions de santé mais encore à leur entourage professionnel ; qu'en
l'espèce, Jean-Paul X... et Jacques Y..., en étant tous deux employés par
une association interprofessionnelle de médecine du travail (AIMT 83) comme
adjoint de direction et consultant informatique, devaient bien être
considérés comme des professionnels intervenant dans le système de santé ;
que dès lors, la chambre de l'instruction ne pouvait affirmer qu'il ne peut
leur être reproché la violation d'un secret dont ils n'étaient pas
dépositaires au seul motif qu'ils n'étaient pas médecins, sans violer les
textes visés au moyen" ;
Les moyens étant réunis ;
Attendu que les énonciations de l'arrêt attaqué mettent la Cour de cassation
en mesure de s'assurer que, pour confirmer l'ordonnance de non-lieu
entreprise, la chambre de l'instruction, après avoir analysé l'ensemble des
faits dénoncés dans la plainte et répondu aux articulations essentielles du
mémoire produit par la partie civile appelante, a exposé les motifs pour
lesquels elle a estimé qu'il n'existait pas de charges suffisantes contre
quiconque d'avoir commis les délits reprochés, ni toute autre infraction ;
Que le demandeur se borne à critiquer ces motifs, sans justifier d'aucun des
griefs que l'article 575 du code de procédure pénale autorise la partie
civile à formuler à l'appui de son pourvoi contre un arrêt de chambre de
l'instruction en l'absence de recours du ministère public ;
Que, dès lors, les moyens sont irrecevables, et qu'il en est de même du
pourvoi, par application du texte précité ;
Par ces motifs :
DÉCLARE le pourvoi IRRECEVABLE ;
Ainsi jugé et prononcé par la Cour de cassation, chambre criminelle, en son
audience publique, les jour, mois et an que dessus ;
Etaient présents aux débats et au délibéré, dans la formation prévue à
l'article 567-1-1 du code de procédure pénale : M. Joly conseiller doyen
faisant fonction de président en remplacement du président empêché, M.
Finidori conseiller rapporteur, Mme Anzani conseiller de la chambre ;
Greffier de chambre : Mme Randouin ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur
et le greffier de chambre ;
Décision attaquée : Chambre de l'instruction de la cour d'appel d'Aix-En-Provence
du 4 décembre 2007